Les entreprises certifiées dans le Schéma National de Sécurité (ENS espagnol) se consultent dans le registre public que maintient le Centre Cryptologique National (CCN) sur sa plateforme de gouvernance, accessible depuis le site ens.ccn.cni.es. Y figurent aussi bien les entités avec une déclaration de conformité (catégorie basique, par autoévaluation) que celles ayant obtenu la certification de conformité (catégories moyenne et élevée, après audit d'un organisme accrédité par ENAC). Si une entreprise affiche le label ENS, il doit être possible de la vérifier dans ce registre officiel ; et si vous souhaitez que votre organisation y figure, le chemin passe par la mise en conformité et l'obtention du document de conformité correspondant à la catégorie de votre système.

Ce que signifie qu'une entreprise soit certifiée ENS

Le Schéma National de Sécurité est le cadre de cybersécurité que réglemente le Décret Royal 311/2022, du 3 mai. Né pour le secteur public, son périmètre s'étend pleinement au secteur privé : toute entreprise qui fournit des services à une administration ou lui propose des solutions technologiques traitant des informations relevant du champ d'application de l'ENS doit démontrer sa conformité. Cette démonstration ne se fait pas de vive voix. Elle se matérialise dans un document officiel de conformité et dans un label que l'entité publie et que chacun peut vérifier.

Lorsqu'un prestataire affirme qu'il « possède l'ENS », il dit en réalité l'une de deux choses. Soit il a émis une déclaration de conformité, valable uniquement pour les systèmes de catégorie basique et fondée sur une autoévaluation sous sa propre responsabilité ; soit il a obtenu une certification de conformité, qui pour les catégories moyenne et élevée est obligatoire et exige un audit réalisé par un organisme de certification accrédité. Ce sont deux niveaux de garantie très différents, et il convient de savoir lequel est présenté par le client, le citoyen ou l'acheteur qui examine un fournisseur.

Dans mon travail d'accompagnement des entreprises vers l'ENS, c'est la première distinction que je clarifie. Il n'y a pas d'équivalence entre « nous nous sommes autoévalués et estimons être conformes » et « un auditeur indépendant, accrédité par l'organisme national, a vérifié que nous le sommes ». Les deux figures sont légitimes et prévues par la norme, mais elles répondent à des niveaux de risque et d'exigence différents. Si vous souhaitez comprendre le cadre complet, je le développe dans mon guide complet du Schéma National de Sécurité.

Où puis-je consulter les entreprises certifiées ENS ?

Entreprises certifiées ENS : consulter le registre
Photo : Debs (ò‿ó)♪ (CC BY 2.0)

La référence est le site officiel du Centre Cryptologique National, ens.ccn.cni.es. Depuis sa section de conformité, on accède au registre d'entités, que le CCN publie via sa plateforme de gouvernance. Ce registre recense les entités qui ont communiqué au CCN leur déclaration ou leur certification de conformité, et permet de les filtrer et de les consulter.

La liste distingue par catégorie du système (basique, moyenne et élevée) et par type d'organisation : Administration Générale de l'État, communautés autonomes, collectivités locales, universités, secteur public institutionnel et, ce qui intéresse le plus ceux qui recherchent des fournisseurs privés, une catégorie spécifique d'entreprises certifiées. Pour chaque entité, des informations telles que la date du premier certificat, la date de conformité et, le cas échéant, les renouvellements sont disponibles. C'est, en pratique, l'outil pour vérifier si un fournisseur qui se prévaut de l'ENS figure réellement comme conforme.

Une nuance importante : toute entreprise qui respecte l'ENS n'est pas nécessairement tenue de figurer dans un moteur de recherche avec son nom commercial visible pour tous, comme on pourrait s'y attendre d'un annuaire commercial. L'obligation légale fondamentale est de publier le label correspondant sur le site, portail ou siège électronique de l'organisation, et de communiquer la certification au CCN. C'est pourquoi, pour vérifier un tiers, il convient de croiser deux sources : le propre site du fournisseur (où doit figurer le label) et le registre du CCN. Si l'entité n'apparaît que dans l'une d'elles, posez des questions.

Qu'est-ce que le label de conformité ENS et comment l'utilise-t-on ?

Le label de conformité est le sceau visuel qui atteste l'état de conformité d'un système concret. La norme et les guides du CCN distinguent deux familles :

Il existe également un label qui identifie les organismes de certification accrédités par ENAC pour évaluer et certifier dans le cadre de l'ENS. Autrement dit, n'importe qui ne peut pas certifier : l'organisme auditeur doit être accrédité, et c'est précisément ce soutien qui donne de la valeur au sceau. Lorsque vous voyez un label de certification, regardez qui le cautionne ; c'est là que réside la différence entre un sceau garanti et une étiquette sans fondement.

L'utilisation du label n'est pas décorative. L'organisation le publie pour attester son état de conformité auprès de tiers, et cet état doit être réel, en vigueur et vérifiable. Un label qui ne peut pas être contrôlé dans le registre du CCN, ou qui correspond à un système dont le certificat a expiré, est un signal d'alarme.

Comment vérifie-t-on la conformité avec l'ENS ?

La vérification est un processus en trois étapes que chacun peut suivre sans être technicien :

  1. Localisez le label. Sur le site, portail ou siège électronique de l'entreprise doit figurer le sceau de l'ENS avec la catégorie du système (basique, moyenne ou élevée) et, s'il s'agit d'une certification, l'organisme certificateur.
  2. Identifiez ce qui est certifié. L'ENS s'applique à des systèmes d'information, pas à l'entreprise dans son ensemble de manière générique. Vérifiez que le périmètre du certificat couvre le service qui vous intéresse, et non un autre système distinct de la même organisation.
  3. Croisez avec le registre du CCN. Rendez-vous sur ens.ccn.cni.es et son registre d'entités pour confirmer que l'organisation y figure avec une conformité déclarée ou certifiée, dans la catégorie indiquée, et que les dates sont cohérentes et en vigueur.

Ce croisement évite le risque le plus courant : accepter un sceau qui apparaît sur un site mais n'a pas de base dans le registre, est périmé ou correspond à un périmètre qui n'est pas celui du service contracté. Dans un appel d'offres ou dans la diligence raisonnable d'un contrat, cette vérification de cinq minutes peut éviter de sérieux problèmes ultérieurs.

Déclaration vs certification : la distinction qui crée le plus de confusion

Voici le tableau que j'utilise pour l'expliquer en un coup d'oeil. Il résume les deux voies de conformité de l'ENS et explique pourquoi elles ne sont pas interchangeables.

CritèreDéclaration de conformitéCertification de conformité
Catégorie applicableCatégorie BASIQUE uniquementCatégories MOYENNE et ÉLEVÉE (obligatoire) ; également possible en BASIQUE à titre volontaire
Qui la valideL'entité elle-même, par autoévaluation sous sa responsabilitéUn organisme de certification accrédité par ENAC, par voie d'audit
PériodicitéAutoévaluation ordinaire au moins tous les 2 ansAudit de certification ordinaire au moins tous les 2 ans
LabelLabel de déclaration de conformitéLabel de certification de conformité, avec l'organisme certificateur identifié
Où figure-t-ilSite/siège de l'entité et communication au CCN ; consultable dans le registre du CCNSite/siège de l'entité et communication au CCN ; consultable dans le registre du CCN
Effort et garantieMoindre effort, garantie fondée sur la propre organisationEffort plus important, garantie renforcée par audit indépendant accrédité

L'essentiel en pratique : la catégorie du système détermine la voie. Si votre système est de catégorie moyenne ou élevée, l'autoévaluation ne suffit pas, vous avez besoin d'une certification auditée. Et si un fournisseur vous présente une déclaration de conformité pour un service qui, par sa nature, devrait relever de la catégorie moyenne ou élevée, il y a là une incohérence qui mérite des questions.

À quelle fréquence le certificat expire-t-il et que se passe-t-il avec les audits ?

Le Décret Royal 311/2022 prévoit que les systèmes relevant du champ d'application de l'ENS font l'objet d'un audit ordinaire régulier au moins tous les deux ans. Pour les catégories moyenne et élevée, cet audit soutient la certification de conformité ; pour la basique, l'autoévaluation est révisée avec la même cadence biennale. En pratique, cela signifie qu'un certificat n'est pas éternel : il a une validité liée à ce cycle de deux ans et doit être renouvelé par un nouvel audit qui confirme que le système continue à être conforme.

C'est pourquoi, lorsque vous vérifiez un tiers, les dates comptent autant que le sceau lui-même. Un label vieux de quatre ans sans trace de renouvellement n'atteste pas la conformité actuelle. Le registre du CCN reflète les dates de conformité et de renouvellement précisément pour que ce suivi soit possible. La conformité avec l'ENS n'est pas une photographie figée, c'est un engagement maintenu vivant par des audits périodiques, une gestion continue du risque et une mise à jour des mesures de sécurité.

Comment faire apparaître mon entreprise dans la liste des certifiées ?

Si votre objectif est de figurer comme entité conforme, que ce soit par obligation contractuelle avec le secteur public ou pour des raisons de stratégie commerciale, le parcours est clair dans sa logique même s'il exige du travail :

  1. Catégorisez vos systèmes. Identifiez quels systèmes d'information sont concernés et déterminez leur catégorie (basique, moyenne ou élevée) en fonction de l'impact sur les dimensions de sécurité. Cela décide si votre voie est la déclaration ou la certification.
  2. Mettez-vous en conformité avec l'ENS. Mettez en oeuvre les mesures de sécurité qu'exige le cadre pour votre catégorie : politique de sécurité, analyse des risques, mesures organisationnelles, opérationnelles et de protection. C'est la phase la plus longue et celle qui a le plus de valeur.
  3. Déclarez ou faites-vous certifier. Pour la basique, réalisez l'autoévaluation et émettez votre déclaration de conformité. Pour la moyenne ou élevée, faites appel à un organisme de certification accrédité par ENAC pour auditer votre système et émettre le certificat.
  4. Publiez le label et communiquez au CCN. Apposez le sceau de conformité sur votre site ou siège électronique et communiquez la certification au CCN, ce qui permet à votre entité de figurer dans le registre consultable.
  5. Maintenez la validité. Renouvelez par audit au moins tous les deux ans et gérez la sécurité de manière continue pour ne pas perdre la conformité.

Ne sautez pas la catégorisation initiale : j'ai vu des projets se renchérir et se retarder pour avoir mal dimensionné le périmètre au départ. Si vous souhaitez voir le détail des phases, des exigences et de l'ordre de grandeur de l'investissement, je le détaille dans mon article sur le processus de certification ENS, exigences et coûts. Et si vous avez besoin de savoir si votre entreprise est vraiment obligée par sa relation avec le secteur public, je le clarifie dans quand l'ENS est obligatoire pour les entreprises et les fournisseurs.

ENS et ISO 27001 : pourquoi on vous demandera les deux

Il est fréquent qu'un même cahier des charges ou un même client exige à la fois l'ENS et la certification ISO/IEC 27001. Ce sont des cadres compatibles mais distincts : l'ENS est un schéma national, de conformité obligatoire pour qui travaille avec les administrations publiques espagnoles, avec des catégories et des mesures fixées par la loi ; l'ISO 27001 est une norme internationale, volontaire, fondée sur un système de management de la sécurité de l'information. Une grande partie du travail de contrôle se recoupant, une organisation dotée d'un SGSI mature part avec un avantage pour aborder l'ENS, et vice versa. Dans les projets réels, je les planifie généralement de manière conjointe pour capitaliser les preuves et les audits communs et réduire l'effort.

Comment je vous aide à figurer dans le registre ENS

J'accompagne les entreprises tout au long du parcours : de la catégorisation des systèmes et de l'analyse des risques jusqu'à la mise en conformité, la préparation de l'audit et la publication du label. Je travaille en présentiel et à distance depuis Castilla y León et les Canaries, et de manière délocalisée pour le reste de l'Espagne. Si votre entreprise souhaite figurer comme conforme à l'ENS, ou si vous avez besoin de vérifier vos propres fournisseurs avant de les engager, je peux vous aider à le faire correctement et du premier coup. Je le développe dans mon service de conseil et mise en oeuvre de l'ENS, et vous pouvez m'écrire depuis la page de contact.

Questions fréquentes

Où puis-je consulter les entreprises certifiées ENS ?

Dans le registre d'entités que publie le Centre Cryptologique National depuis son site officiel, ens.ccn.cni.es, via sa plateforme de gouvernance. Il permet de consulter les entités ayant une conformité déclarée ou certifiée, de filtrer par catégorie (basique, moyenne, élevée) et par type d'organisation, incluant une catégorie spécifique d'entreprises certifiées, avec leurs dates de certification et de renouvellement.

Que signifie qu'une entreprise possède le label ENS ?

Cela signifie qu'un système d'information de cette entreprise respecte les mesures du Schéma National de Sécurité (ENS espagnol) et que cette conformité a été formalisée dans un document officiel. Si la catégorie est basique, par une déclaration basée sur une autoévaluation ; si elle est moyenne ou élevée, par une certification obtenue après un audit d'un organisme accrédité par ENAC. Cela n'équivaut pas à dire que « toute l'entreprise » est sécurisée : ce qui est certifié, c'est le système concret inclus dans le périmètre.

Comment vérifie-t-on la conformité avec l'ENS ?

Localisez le label de conformité sur le site ou siège de l'entreprise, vérifiez quel système et quelle catégorie il couvre, et croisez cette information dans le registre du CCN sur ens.ccn.cni.es. Vérifiez également les dates, car la conformité a une validité liée au cycle d'audit biennal et doit être renouvelée au moins tous les deux ans.

Quelle est la différence entre déclaration et certification de conformité ?

La déclaration de conformité ne vaut que pour la catégorie basique et repose sur une autoévaluation de l'entité elle-même. La certification de conformité est obligatoire pour les catégories moyenne et élevée, exige un audit réalisé par un organisme de certification accrédité par ENAC et offre une garantie renforcée par cette vérification indépendante.

À quelle fréquence faut-il renouveler le certificat ENS ?

Le Décret Royal 311/2022 prévoit un audit ordinaire régulier au moins tous les deux ans. Pour les catégories moyenne et élevée, cet audit soutient la certification, et pour la basique, l'autoévaluation est révisée avec la même cadence biennale. En pratique, le certificat doit être renouvelé tous les deux ans pour maintenir la conformité en vigueur.

Comment faire apparaître mon entreprise dans la liste des certifiées ?

Catégorisez vos systèmes, mettez-vous en conformité avec les mesures de l'ENS, obtenez la déclaration (basique) ou la certification auditée (moyenne/élevée), publiez le label sur votre site ou siège électronique et communiquez la certification au CCN. C'est cette communication qui permet à votre entité de figurer dans le registre consultable. Ensuite, maintenez la validité en renouvelant au moins tous les deux ans.

L'ENS est-il obligatoire pour mon entreprise si je travaille avec l'Administration ?

En général, oui : les entreprises privées qui fournissent des services ou des solutions à des entités du secteur public soumises à l'ENS doivent accréditer leur conformité pour les systèmes concernés. La catégorie exigée (et donc si vous avez besoin d'une déclaration ou d'une certification) dépend du service et des informations traitées. Il convient de revoir le cahier des charges ou le contrat et de bien catégoriser dès le début.

Sources